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"Procede d'execution d'un protocole cryptographique entre deux entites 

electroniques" 

L'invention se rapporte a un procede d'execution d'un protocole 
cryptographique entre deux entites electroniques, Tune d'elles etant par 
exemple, mais non exclusivement une carte a microprocesseur. Uinvention 
concerne plus particuiierement un perfectionnement dudit protocole pour 
prevenir les "attaques". c'est-a-dire les tentatives de fraude fondees sur I'analyse 
du materiel en fonctionnement, notamment par le biais de mesures de la 
consommation de courant pendant Texecution d'un tel protocole cryptographique 
provoque par un fraudeur. 

On salt que certaines entites electroniques cryptees, notamment les 
cartes a microcircuits sont vulnerables a certaines attaques fondees sur I'analyse 
de certains parametres pendant une phase de fonctionnement. On dit que les 
informations peuvent "fuir" a partir d'un calcul fait dans la carte, typiquement 
Texecution d'un protocole cryptographique provoque par le fraudeur en 
possession de la carte. Les parametres analyses pendant I'execution d'un tel 
protocole peuvent etre, typiquement, des differences de temps de calcul ou des 
radiations electromagnetiques pendant Texecution du calcul mais surtout la 
consommation de courant de I'entite electronique dont on cherche a forcer le 
code. 

Ainsi, I'attaque classique consiste a faire executer par I'entite electronique 
tombee en la possession du fraudeur, un certain nombre de protocoles 
cryptographiques fondes sur des messages quelconques, done voues a i'echec, 
mais ayant pour consequence de faire executer chaque fois, par Tentite (la carte 
a microcircuit) une chaTne d'operations connue sous I'abreviation DES (Data 
Encryption Standard) tout en analysant la consommation de courant a chaque 
execution dudit DES. Le but de cette attaque est de retrouver la cle secrete de 
ladite entite. Le DES est, quant a tui, un algorithme bien connu, tres largement 
utilise actuellement dans le domaine des cartes bancaires ou celui des cartes de 
controie d*acces. 

A titre d'exemple, dans le cadre d'une authentification normale entre une 
entite A, par exemple un serveur et une entite B. par exemple une carte a 
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microcircuit dans laquelle le DES se trouve programme, les echanges 
d'informations entre les deux entites sont les suivants : 

- le serveur A demande a la carte B d'envoyer un message. A et B etant 
supposes etre en possession de la meme cle. 

5 - B envoie un message quelconque et le garde en memoire. 

- A applique le DES au message en utilisant sa cle et renvoie le resultat a 
la carte B. 

- Parallelement, la carte B applique le DES au message qu'elle a envoye 
au sen/eur A en faisant usage de sa propre cle. Elle obtient un resultat qui est 

10 compare a celui qui a ete elabore par le serveur A. Si les deux resultats sont 
identiques, Tauthentification est validee. 

Par ailleurs, dans le cas d'une fraude. c'est-a-dire dans le cas ou le 
fraudeur dispose de la carte et cherche a determiner la cle. celui-ci peut 
connecter la carte a un lecteur par lequel il pourra lui transmettre des messages 

15 et la relier a des moyens d'enregistrement de la consommation de courant 
pendant Texecution des operations qu'elle effectue. 

A partir de ces moyens simples, le fraudeur constitue un systeme F qu'il 
connecte la carte a la place du serveur A. 

Le processus est alors le suivant. F demande un message a la carte 

20 exactement comme dans le cas de rinitialisation d'une authentification. B envoie 
ce message. F envoie a B un autre message cense representer le resultat du 
traitement par le DES du message envoye par B. Bien entendu, ce message est 
errone. Cependant, B fait intervenir sa propre cle pour executer un DES afin 
d'obtenir un resultat, dans le but de le comparer avec le message (errone) 

25 envoye par F. Le resultat de cette comparaison est forcement negatif mais le 
fraudeur a reussi a provoquer Texecution d'un DES par B. Pendant Texecution 
dudit DES, la consommation de courant est detectee et memorisee. 

Si F est en mesure de faire effectuer un certain nombre de DES, dans les 
memes conditions, par fa carte B, et de memoriser a chaque fois les 

30 consommations de courant, il est possible de mettre en oeuvre une attaque dont 
le principe est connu. Cette attaque dite "DPA" (Differentiel Power Analysis) 
permet de reconstituer la cle secrete de I'entite B. 



Le document WO 99/63696 vise a contrer des attaques de ce type en 
reduisant les informations exploitables susceptibles de "fuir" pendant i'execution 
des algorithmes. Pour ce faire, il suggere notamment d'introduire des aleas dans 
les protocoies cryptographlques afin d'augmenter le nombre de cycles 
necessaires pour retrouver la cle secrete. 

L'invention propose une parade precise a une attaque du genre "DPA" par 
complementation aleatoire de certaines operations du DES. 

L'invention s'applique tout particulierement aux entites utilisant le DES 
mais elle est applicable aussi, comma on le verra plus loin, a d'autres entites 
(cartes a microcircuits) utilisant d'autres algorithmes que le DES pourvu que 
celui-ci soit constitue d'une succession d'operations possedant certaines 
proprietes qui seront explicitees plus loin. 

Plus precisement, l'invention concerne un precede d'elaboration d'un 
protocole cryptographique entre une premiere entite electronique et une seconde 
entite electronique susceptible d'attaque, selon lequel un message quelconque 
est 6labore, a partir duquel une chaine d'operations est effectuee par ladite 
seconde entite, aboutissant a I'elaboration d'un message resultant ou reponse, 
ladite reponse etant comparee au resultat d'un autre traitement semblable 
applique audit message et effectue par ladite premiere entite, caracterise en ce 
que, au moins a certaines etapes de ladite chame d'operations, ladite seconde 
entite effectue, soit une operation d'un type choisi, soit la meme operation 
complementee, le choix dependant d'une decision aleatoire et en ce que ladite 
reponse est constituee par le resultat de la derniere operation de ladite chaTne, 
eventuellement complemente. 

La complementation peut etre realisee soit octet par octet, en faisant le 
OU exclusif de I'octet courant aleatoirement avec I'une des deux valeurs 
hexadecimales 00 et FF, soit bit a bit, en traitant ensemble les huit bits 
consecutifs de I'octet courant et en faisant le OU exclusif avec un nombre choisi 
aleatoirement, a chaque octet traite, parmi les 256 valeurs hexadecimales 
comprises entre 00 et FF. 

Parmi les operations susceptibles d'etre complementees, on peut citer 
I'operation dite de OU exclusif ou encore une operation de permutation des bits 
du message ou d'un resultat intermediaire obtenu en effectuant ladite chaTne 
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d'operations, c'est-a-dire, selon rexemple decrit, apres Texecution d'une 
operation donnee du DES. On peut encore citer Toperation d'acces indexe a un 
tableau ou toute operation stable par rapport a Tapplication de la fonction OU 
exclusif, notamment Toperation consistant a transferer le message ou un resultat 
5 internnediaire precite, d'un emplacement a un autre, d'un espace de 
memorisation. 

Selon un mode de realisation possible, on definit dans ladite seconde 
entite deux chaTnes d'operations pour le traitement dudit message, Tune des 
chaTnes etant constituee d'une suite d'operations donnees et Tautre chame etant 
10 constituee d'une suite des memos operations complementees et d'une 
complementation finale et on decide de fagon aleatoire d'executer I'une des deux 
ChaTnes d'operations a chaque reception d'un message provenant de ladite 
premiere entite. 

Selon un autre mode de realisation, actuellement juge preferable, le 

15 precede consiste a utiliser ledit message ou un resultat intermediaire resultant 
de {'execution d'une operation precedente de ladite chaine, a lui appliquer une 
nouvelle operation de ladite chaine, ou cette memo operation complementee, en 
fonction de I'etat d'un parametre aleatoire associe a cette nouvelle operation, a 
mettre a jour un compteur de complementations et a prendre en compte I'etat de 

20 ce compteur a la fm de I'execution de ladite chame d'operations pour decider de 
la configuration finale de ladite reponse. 

Selon encore une autre variante avantageuse, le precede consiste a 
utiliser ledit message ou un resultat intermediaire resultant de I'execution d'une 
operation precedente de ladite chaTne, a lui appliquer une nouvelle operation de 

25 ladite chaTne ou cette meme operation complementee, en fonction de I'etat d'un 
parametre aleatoire associe a cette nouvelle operation et a transmettre. 
d'operation en operation, des informations faisant partie desdits resultats 
intermediaires, necessaires a la configuration finale de ladite reponse. 

Par ailleurs, on a trouve que la difference entre le nombre de fois ou les 

30 operations sent effectuees de fagon normale et le nombre de fois ou elles sent 
effectuees avec complementation, pendant I'execution du DES ou analogue, ne 
doit pas etre trop importante pour que le precede conserve toute son efficacite 
vis-a-vis de I'attaque decrite ci-dessus. Par consequent, le precede est aussi 



remarquable par le fait que, pendant qu'on effectue ladite serie d'operations, on 
calcule la difference entre le nombre de fois ou les operations ont ete effectuees 
de fagon normals et le nonnbre de fois ou elles ont ete effectuees avec 
complementation et en ce qu'on supprinne I'alea sur la decision d'effectuer des 
operations de fagon normale ou complementee, pour un certain nombre 
d'operations subs6quentes, lorsque ladite difference depasse una valeur 
predeternninee, en vuede reduire ladite difference. 

L'invention sera mieux comprise et d'autres avantages de celle-ci 
apparaTtront plus clairement a la lumiere de la description qui va suivre. d'un 
precede d'execution d'un protocols cryptographique conforme a son principe, 
donnee uniquement a titre d'exemple et faite en reference aux dessins annexss 
dans lesquels : 

- la figure 1 est un schema illustrant une partis de I'execution d'un 
protocole cryptographique, plus precisement I'execution d'un DES programme 

selon invention ; et 

- la figure 2 est un schema illustrant une autre fagon d'executer le DES 

conformement a l'invention. 

En considerant plus particulierement la figure 1. on note que le procede 
d'elaboration d'un protocole cryptographique entre deux entites electroniques A 
et B. qui est partiellement illustre sur le schema, peut etre execute dans I'une ds 
ces sntites, typiquement dans une carte a microprocesseur B lorsque celle-ci est 
connectee, par exemple, a un serveur A. Le DES conforme a l'invention est 
programme dans la carte a microprocesseur B. Celle-ci renferme egalement en 
memoire une cle secrete K qui est susceptible d'intervenir dans certaines des 
operations Oi. O2, O3 ...On qui s'enchainent lors de I'execution du DES. Pendant 
I'elaboration du protocole cryptographique, la premiere entite (typiquement le 
serveur A precite) demande a la seconds entite (la carte B) d'envoyer un 
message M. Ls message genere par B est quelconque ; il est garde en memoirs 
dans la carts B. Pendant que A traite ce message avec son propre DES, la carts 
B applique le DES conforme a l'invention au message M qu'elle a envoye au 
sen/sur A. en faisant usage de sa propre cle K. Dans I'sxemple, le DES applique 
dans la carts B comports deux chaines d'operations. Une prsmiere chaine Chi 
d'operations O1. O2, O3 ... On correspond a un DES classique. La seconde 
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chaTne Ch2 d'operations 0,,02,03,...cr est constituee de la meme succession 
des memes operations, mais complementees. Elle s'acheve par une 
complementation globale C du resultat elabore a la fin de la demiere operation 

complementee 0„ . 

5 En outre, on decide de fagon aleatoire d'executer Tune ou Tautre des deux 

chames d'operations a chaque elaboration d*un message quelconque precite. Ce 
choix aleatoire est symbolise par un selecteur Sg interpose entre le message M 
et chacune des deux chaTnes d'operations. Le positionnement du selecteur est 
aleatoire. ce qui signifie que chaque fois qu'un message M doit etre traite. Tune 
10 ou {'autre des deux chaines d'operations Chi, Ch2 est choisie de fagon aleatoire. 

Si la chaine non complementee a ete choisie, le resultat donne par la 
derniere operation On constitue la reponse R qui sera comparee a celle qu'aura 
elabore le serveur A. Dans le cas ou la chaTne des operations complementees a 

ete selectionnee, le resultat de la derniere operation 0„ est complements et 

15 constitue la reponse R. 

Dans le mode de realisation de la figure 2, on retrouve un DES 
programme conformement au principe de I'invention, c'est-a-dire comportant les 
operations habituelles d'un DES : Oi, O2. O3 ... On ou les operations semblables 

complementees 6,,6,,6^,...6,^ . Le message lui-meme peut etre complemente. 
20 c'est-a-dire utilise tel quel au debut de Texecution du DES ou sous forme 

complementee M. La cle K intervient pour Texecution de certaines operations 
au moins. Cependant, la selection des operations, (c'est-a-dire le choix entre 
I'operation normale ou sa version complementee) est decidee de fagon aleatoire 
d'une operation a I'autre. Autrement dit, on utilise le message M ou un resultat 

25 intermediaire resultant de ['execution d'une operation precedente Oi (ou ), on 
lui applique une nouvelle operation de la chaTne ou sa version complementee 

(c'est-a-dire Oi+i ou 6~, ) en fonction de I'etat d'un parametre aleatoire associe a 
la nouvelle operation. Ce parametre aleatoire est elabore par le selecteur S'a- 
Ainsi, en suivant le cheminement de la figure 2, on voit que c'est le message M, 
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tel quel, qui est utilise et non son complement M (commande 1 generee par S'a) 

que c'est Toperation qui est selectionnee (commande 2) puis i'operation 
(commande 3), puis roperation O3 (commande 4) et qu'enfin on aboutit a la 

selection de Toperation 6^, (commande n). Le resultat de la demiere operation, 

5 en Toccurrence ici 0„ peut constituer le resultat R ou le resultat R complements 
qui sera compare a un autre resultat elabore par Tentite A par mise en oeuvre de 

son propre DES. Le choix entre R et R est donne par I'etat d'un compteur de 
complementation Cc alimente tout au long de Telaboration du processus par le 
selecteur Sg. Autrement dit, I'etat du compteur de complementation Cc permet 

10 de savoir si on doit valider le resultat R ou son complement R pour la 
configuration finale de la reponse a comparer aux calculs de I'entite A. 

II est a noter qu'une variante permet de supprimer le compteur Cc. II suffit 
de transmettre. d'operation en operation, des informations faisant partie des 
resultats intermediaires et representant le nombre de fois ou une operation du 

15 DES a ete executee sous forme complementee. Dans ce cas. les resultats 
intermediaires transmis d'une operation a Tautre comportent eux-memes 
rinformation equivalente a celle que donne in fine le compteur Co dans le mode 
de realisation de la figure 2. Dans ce cas, le dernier resultat intermediaire donne 

par I'execution de roperation On ou 0„ est ou non complemente en fonction 
20 d'une partie des informations propres qu'il contient. On en deduit la configuration 

finale de la reponse R. 

Revenant a la figure 1 ou 2, on note que le selecteur Sa ou S'a est exploite 

pour calculer la difference entre le nombre de fois ou les operations ont ete 

effectuees de fagon normale et le nombre de fois ou elles ont ete effectuees 
25 avec complementation. Cette difference d est memorisee et actualisee 

d'operation en operation. 

Lorsque la difference depasse une valeur predeterminee, ce qui peut 

reduire I'efficacite du precede vis-a-vis de I'attaque DPA, on genere un ordre qui 

inhibe momentanement le selecteur S a- Autrement dit, on supprime I'alea sur la 
30 decision d'effectuer des operations de fagon normale ou complementee, pour 
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executer un certain nombre d'operations subsequentes dans le mode (normal ou 
complemente) le moins utilise jusque la. L'alea est remis en oeuvre lorsque la 
valeur de la difference d a ete suffisamment reduite. 

II se trouve que toutes les operations d*un DES dassique permettent la 
5 mise en oeuvre du procede selon Tune ou Tautre des variantes qui viennent 
d'etre decrites. 

A titre d'exemple, on va mentionner ci-dessous certaines operations 
susceptibles d'etre complementees et par consequent compatibles avec la mise 
en oeuvre du procede qui vient d'etre decrit. 
10 Une operation susceptible d'etre complementee est I'operation dite de OU 

exclusif. 

Une autre operation susceptible d'etre complementee, est une operation 
connue de permutation des bits du message M ou d'un resultat intermediaire 
obtenu en effectuant la chame d'operations. Pour les permutations (simples, 
15 compressives ou expansives), on stockera avantageusement le masque 
permute en memoire. 

Une autre operation susceptible d'etre complementee est I'operation dite 
d'acces indexe a un tableau. 

Une autre operation susceptible d'etre complementee est le transfert du 
20 message ou d'un resultat intermediaire obtenu en effectuant une operation de la 
chame, d'un emplacement a un autre d'un espace de memorisation defini dans 
I'entite B. Pratiquement, on applique de maniere aleatoire un masque par OU 
exclusif a la donnee transferee. 

Plus generaiement, une operation susceptible d'etre complementee est 
25 une operation stable par rapport a I'application de la fonction ou exclusif, c'est-a- 
dire telle que : 

V(x,y):f(xey) = f(x)©f(y) 
C'est le cas, entre autres, des permutations et du transfert de donnees. 
Comme mentionne precedemment, un DES dassique se compose 
30 d'operations repondant aux criteres definis ci-dessus mais I'invention s'applique 
aussi a tout algorithme remplissant une fonction analogue a celle d'un DES, 
pourvu qu'il soit constitue d'operations remplissant les conditions enoncees ci- 
dessus. 



D*autres operations a caractere aleatoire peuvent etre combinees a celles 
qui definissent le procede decrit ci-dessus. Notamment. lorsque plusieurs 
operations consecutives de la chame sont commutatives, on peut permuter 
Tordre de leur execution, de fagon aleatoire. 
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REVENDICATIONS 

1- Procede d^elaboration d'un protocole cryptographique entre une 
premiere entite electronique (A) et une seconde entite electronique (B) 
susceptible d'attaque, selon lequel un message quelconque (M) est elabore, a 
partir duquel une chame d'operations est effectuee par ladite seconde entite, 

5 aboutissant a Telaboration d'un message resultant ou reponse (R), ladite 
reponse etant comparee au resultat d'un autre traitement semblable applique 
audit message et effectue par ladite premiere entite, caracterise en ce que, au 
moins a certaines etapes de ladite chaTne d'operations, ladite seconde entite 
effectue, soit une operation d'un type choisi (Oi, O2, O3 ... On), soit la meme 

10 operation complementee (Oi,02,63,...0„ ), le choix dependant d'une decision 
aleatoire et en ce que ladite reponse est constituee par le resultat de la derniere 

operation (O^ ) de ladite chaTne, eventuellement complemente. 

2- Procede selon la revendication 1, caracterise en ce qu'une operation 
susceptible d'etre complementee est I'operation dite de OU exclusif. 

15 3- Procede selon la revendication 1 ou 2. caracterise en ce qu'une 

operation susceptible d'etre complementee est une operation de permutation des 
bits dudit message ou d'un resultat intermediaire obtenu en effectuant ladite 
chaTne d'operations. 

4- Procede selon Tune des revendications 1 a 3, caracterise en ce qu'une 
20 operation susceptible d'etre complementee est Toperation d'acces indexe a un 

tableau. 

5- Procede selon Tune des revendications 1 a 4, caracterise en ce qu'une 
operation susceptible d'etre complementee est une operation stable par rapport 
a I'application de la fonction OU exclusif. 

25 6- Procede selon la revendication 5, caracterise en ce qu'une operation 

susceptible d'etre complementee est le transfert dudit message ou d'un resultat 
intermediaire obtenu en effectuant une operation de ladite chaTne, d'un 
emplacement a un autre d'un espace de memorisation. 

7- Procede selon I'une des revendications precedentes, caracterise en ce 

30 qu'il consiste a utiliser ledit message ou un resultat intermediaire resultant de 
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I'execution d'une operation precedente de ladite chaine, a lui appliquer une 
nouvelle operation de ladite chaTne, ou cette meme operation complementee, en 
fonction de I'etat d'un parametre aleatoire (S'a) associe a cette nouvelle 
operation, a mettre a jour un compteur de complementations (Cc) et a prendre en 
compte I'etat de ce compteur a la fin de I'execution de ladite chaine d'operations 
pour decider de la configuration finale de ladite reponse. 

8- Procede selon I'une des revendications 1 a 6, caracterise en ce qu'il 
consiste a utiliser ledit message ou un resultat intermediaire resultant de 
I'execution d'une operation precedente de ladite chaTne, a lui appliquer une 
nouvelle operation de ladite chaTne, ou cette meme operation complementee, en 
fonction de I'etat d'un parametre aleatoire (S'a) associe a cette nouvelle 
operation et a transmettre, d'operation en operation, des informations faisant 
partie desdits resultats intermediaires, necessaires a la configuration finale de 
ladite reponse. 

9- Procede selon I'une des revendications 1 a 6, caracterise en ce qu'on 
definit dans ladite seconde entite deux chaTnes d'operations (Chi, Cha) pour le 
traitement dudit message, I'une des chaTnes etant constituee d'une suite 
d'operations donnees et I'autre chaTne etant constituee d'une suite des memes 
operations complementees et d'une complementation finale (C) et en ce qu'on 
decide de fagon aleatoire d'executer I'une des deux chaTnes d'operations a 
chaque elaboration d'un message precite. 

10- Procede selon I'une des revendications precedentes, caracterise en 
ce que, pendant qu'on effectue ladite serie d'operations, on calcule la difference 
(d) entre le nombre de fois ou les operations ont ete effectuees de fagon normale 
et le nombre de fois ou elles ont ete effectuees avec complementation et en ce 
qu'on supprime I'alea (S'a) sur la decision d'effectuer des operations de fagon 
normale ou complementee, pour executer un certain nombre d'operations 
subsequentes, lorsque ladite difference depasse une valeur predeterminee dans 
le mode (normal ou complemente) le moins utilise jusque la, en vue de reduire 
suffisamment ladite difference. 

11- Procede selon I'une des revendications precedentes, caracterise en 
ce que la complementation est effectuee octet par octet. 
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12- Procede selon Tune des revendications 1 a 10, caracterise en ce que 
la complementation est effectuee bit a bit. 

13- Procede selon Tune des revendications precedentes, caracterise en 
ce que, lorsque plusieurs operations consecutives de ladite chame sont 

5 commutatives, on permute I'ordre de leur execution, de fagon aleatoire. 
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